'SSL biedt onvoldoende veiligheid'

De claim baart beveiligingsexperts zorgen, omdat hij er overtuigend uitziet. Als het zo makkelijk gaat als Moxie Marlinspike beweert, zijn financiële handelingen op intenet een stuk onveiliger geworden.De hacker maakt voor zijn hack gebruik van een zogeheten 'man in the middle'-aanval, waarbij de hacker ervoor zorgt dat het verkeer tussen internetter en zijn doeladres verloopt via een systeem waar hij controle over heeft. Het slimme van deze hack is, dat gebruik wordt gemaakt van het feit dat een internetter bijna nooit rechtstreeks contact legt met een middels SSL beveiligde webpagina. Bijna altijd komt men daar via een link op een gewone http:-pagina. Met een zelf ontwikkelde applicatie is Moxie Marlinspike in staat zich in dat communicatiekanaal te wurmen voordat de SSL-verbinding is opgezet, en zonder dat aan weerszijden opgemerkt wordt dat er iets niet klopt.In principe is de hacker op deze manier ook in staat certificaten en andere echtheidsbewijzen te vervalsen, zoals het gesloten slotje. Het enige waaraan de internetter kan zien dat er iets mis is, is dat er geen https in het URL van de bezochte webpagina staat. Maar dat is iets dat de meeste websurfers zal ontgaan, meent de hacker. Volgens Moxie Marlinspike bewijst zijn hack vooral, dat de branche werk moet maken van het beter beveiligen van het standaardprotocol http. "Want https is heel vaak niet veiliger dan http, en http is niet veilig", hield hij zijn gehoor voor. Daarnaast zal men internetters moeten blijven waarschuwen dat ze echt op alle veiligheidskenmerken moeten letten als ze min of meer vertrouwelijke informatie over het internet sturen, meent hij.